7 conseils pratiques pour vous mettre en conformité avec vos obligations CNIL

• Thiébaut Devergranne

La loi va bientôt changer. Les montants d’amende pour non respect du régime en matière de protection des données personnelles vont être faramineux : 2% du chiffre d’affaire global pour les groupes ; pour une société comme Microsoft en 2008, cela représente un potentiel 1,2 milliard de dollars d’amende

Voilà de quoi prendre très au sérieux cette règlementation. Pour ne rien vous cacher j’intervenais la semaine dernière dans une entreprise du CAC40 dans laquelle on me confiait que les commissaires aux comptes appelaient à mettre l’ensemble de la structure en conformité de toute urgence, par crainte de sanctions majeures. Le temps est clairement à l’anticipation de ce nouveau risque juridique.

C’est donc le bon moment pour vous donner quelques conseils pour mettre en conformité votre organisation avant l’arrivée du nouveau règlement européen ! Cela vous simplifiera la tâche, et vous évitera nombre de déconvenues. Pensez à partager ce guide à qui de droit, c’est toujours utile de faire partager cette expérience…

1. Commencez par établir la liste de vos traitements de données personnelles

C’est vraiment la première étape clé. Car sans cette liste, vous ne pouvez pas tracer ce que vous faites, et il vous est donc impossible de vous assurer du respect des obligations légales qui en découlent (ex : obligation de sécurité, mentions légales…).

auditPour les petites organisations la tâche est relativement aisée, en général on a :

  • un site web (avec des logs…) ;
  • un autocommutateur téléphonique ;
  • une badgeuse (parfois) ;
  • des fichiers clients, fournisseurs ;
  • la paye,
  • des fichiers métiers…

Pour les administrations ou les plus grandes entreprises, la tâche est plus complexe : il faut dresser un inventaire des traitements réalisés, faire des questionnaires, s’assurer que l’on a tout répertorié, la tâche est longue.

Ah, et si cela vous étonne de voir que l’on doit déclarer un traitement de paye ou une badgeuse, reportez-vous à la notion de donnée personnelle : dès lors que vous avez un nom, un prénom ou une photo dans un fichier, c’est un traitement de données personnelles qu’il faut mettre en conformité, sinon vous êtes dans l’illégalité…

La question qui vient souvent après, « bon, d’accord, et si on le fait pas, qu’est-ce qu’on risque ? ». La réponse est « 5 ans d’emprisonnement et 300.000 € d’amende » (article 226-16 du Code pénal, cela devrait suffire à vous motiver). Ceci étant rassurez-vous le juge peut tout à fait modérer la peine (si cela vous rassure vraiment de devoir passer devant un juge…).

Pour vous donner un exemple pratique, l’audit d’une collectivité récemment, pendant lequel il a été recensé plus d’une centaine de traitements différents au terme de plusieurs jours de travail. Comme rien n’avait été vraiment pris en compte, nombre de ces traitements étaient illicites et donc relevaient d’une ou plusieurs infractions pénales. Heureusement, un plan de bataille a pu être mis en place pour préserver la responsabilité de chacun des intervenants. Pensez à mettre cela à plat avant que le règlement ne passe…

2. Vérifiez vos mentions légales

consentementCela peut paraître assez simple comme conseil mais en réalité c’est extrêmement important. Pourquoi ? Simplement parce que vos mentions légales sont une vitrine de l’état de votre conformité CNIL. En d’autres termes, on sait pertinemment en visitant un site web et en lisant des mentions légales, ce que l’on va trouver derrière en termes de défaut de conformité et d’infractions pénales. C’est cela en général que l’on regarde en premier.

Même chose dans le monde physique, par exemple pour votre accueil client : il est impératif d’afficher les mentions légales si vous collectez les données personnelles de vos visiteurs…

Pour vous donner un exemple pratique, relatif à un audit d’un leader du domaine de l’aéronautique, qui n’était pas du tout en conformité avec la CNIL. Vu des budgets restreints, la stratégie a été de se concentrer d’abord sur tout ce qui était visible autant que de mettre en conformité les traitements qui présentaient des risques majeurs. Cela permet d’aller à l’essentiel et de faire montre d’une certaine volonté de l’organisation de progresser sur ce terrain et donc de protéger sa responsabilité un minimum. Allez à l’essentiel !

3. Assurez-vous d’éviter les transferts hors UE

Ce point est plus délicat surtout à l’heure du Cloud computing. Il est fort aisé aujourd’hui de procéder à des transferts de données hors UE sans avoir vraiment conscience de leur portée juridique. donneesOr la CNIL est extrêmement vigilante à l’égard de ces traitements. Si vous voulez faire un test pour vous amuser, envoyez votre demande de formalités préalables à la CNIL pour un traitement, disons « que vous pensez mettre en œuvre d’ici peut-être 6 mois pour un CRM sur une plateforme SaaS » (il est important qu’aucune donnée personnelle ne soit traitée si vous voulez faire ce test) et dites que vous transférez des données aux Etats-Unis, vers une entreprise qui n’est pas « Safe Harbor » et qui n’entre dans aucune exception prévue immédiatement par la loi. Entre trois et cinq jours plus tard en moyenne, vous allez avoir un contact email de la CNIL vous demandant de détailler très précisément votre traitement… Immanquable !

La CNIL étant très vigilante sur ce point, faites très attention avant de délocaliser vos systèmes informatiques.

_Pour vous donner un exemple pratique, j’ai rédigé un argumentaire pour délocaliser une liste email vers Aweber, à l’époque où la société n’était pas Safe Harbor. La liste comportait à peine quelques centaines de personnes, pourtant la CNIL a été intraitable, et il a fallu batailler très sérieusement… Coût de l’opération : 750 €. Autant dire qu’il faut bien réfléchir AVANT de transférer ses données… Notre sentiment toutefois est que la CNIL a tendance à faire du zèle sur ces points…

_

4. Attention au traitement de données sensibles

MP900285070Sur ce point, la CNIL est tout bonnement intraitable, et à raison. Faites très attention par exemple au traitement de données de santé (voici la liste des données sensibles au sens de la loi pour plus de précisions). Autant que possible, il faut éviter de collecter ces informations - particulièrement au regard du RGPD.

Certains traitements ont légitimement besoin de collecter ces données et de les traiter (comment ferions-nous en matière médicale sinon, par exemple ?). Dans ce cas, dans les choses à prévoir, il faut vraiment mettre l’accent sur la sécurité de ces données et s’assurer qu’elle est parfaitement gérée pendant toute la durée des opérations.

_Pour vous donner un exemple pratique, qui était la mise en conformité d’un traitement opéré par une société qui met en place des dispositifs de prévention dans le domaine de la santé. La société avait bien cerné la problématique CNIL mais elle n’avait pas entièrement analysé les impacts en termes de sécurité, comme par exemple, la nécessité de chiffrer les données de bout en bout, la nécessité d’interdire par défaut tout accès possible aux systèmes stockant ces informations, mettre des firewalls sur l’ensemble des systèmes ayant à traiter ces données, etc. La société a été jusqu’à détailler les algorithmes de chiffrement et les tailles de clés nécessaires (symétriques/asymétriques), de sorte d’être conformes aux recommandations de la CNIL…

_

5. Vérifiez la sécurité de vos traitements

C’est un gros travail à faire : s’assurer que le traitement est conforme aux obligations de sécurité édictées par la loi et aux recommandations de la CNIL. Vous allez devoir démontrer que vous avez mis en place des mesures de sécurité pour éviter :MP900404902

  • que les données ne soient déformées
  • qu’elles ne puissent être endommagées
  • que des tiers non autorisés ne puissent y avoir accès.

Vous remarquerez ici certainement le triptyque confidentialité, intégrité, authentification… La loi vous impose également de mener une étude de risques présentés par le traitement (voir par ex. notre infographie sur le sujet pour une vision rapide et globale de la question).

Pour vous donner un exemple pratique, l’audit d’un grand établissement administratif qui avaient une newsletter envoyée à l’ensemble de leurs usagers. L’audit révèle que le serveur est hébergé en Suisse (étonnant pour une administration…) et qu’il présentait de nombreuses failles de sécurité. Le compte rendu se fait devant toute l’équipe SSI… qui découvrait qu’il existait un serveur qui n’était pas installé au sein de l’établissement et que celui-ci présente plus d’une 10aine de failles de sécurité connues ! Tout le monde était estomaqué (la réalité était que la com. avait passé outre les procédures internes et avait loué son propre serveur, avec les conséquences qui en résultent…).

6. Assurez-vous d’être à jour de vos déclarations

MH900412754-1Il n’y a guère de meilleur moyen pour se mettre à jour que de mener un audit (voir point 1). Et une fois cet audit mené vérifiez que toutes les déclarations CNIL ou les demandes d’autorisations ont bien été faites.

Dans les grandes structures ce point peut être délicat à gérer en raison de la très importante diversité des traitements. Ce qu’il importe c’est de définir des priorités, car il est pratiquement impossible en pratique de tout mettre en conformité. Il faut se concentrer sur l’essentiel et avancer.

 

7. Imposez-vous des délais maximum de conservation des données

TimerCe point est sans doute celui qui suscite le plus d’interrogations parmi les professionnels. Jusqu’à quand peut-on traiter les données personnelles ? Quel est le délai de conservation des données de connexion, des logs, des fichiers clients et prospects ?

Ces éléments doivent être précisés lors de la mise en œuvre du traitement, mais également vérifiés pendant son exécution. La CNIL a également d’innombrables recommandations à ce sujet qu’il… est évidemment conseillé de suivre !

Conclusion

La mise en conformité d’une organisation aux obligations CNIL est une démarche qui est loin d’être simple. Il existe de nombreuses infractions pénales qui sanctionnent l’absence de déclaration, la défaillance des mesures de sécurité, les collectes de données déloyales…

La difficulté majeure d’une mise en conformité reste de combiner ces obligations légales avec les objectifs de l’organisation (croissance, développement du CA, création de valeur ajoutée). Un process rigoureux vous sera des plus utiles pour appréhender ces challenges, particulièrement si vous avez plusieurs traitements à mettre en conformité.

Il reste encore un peu de temps avant l’adoption du projet de règlement européen, profitez-en pour mettre en conformité vos traitements les plus sensibles. Après, côté sanctions, les choses vont changer…


Commentaires...

S.Dekema

It remains to be seen if the 2%-fine for non-compliancy with the new EU directive wil com into effect. The current EU-president Ireland is actively undermining and lobbying against the 2%-fine.

Ireland pursues vehemently a neoliberal course in order to stay an attractive location for global companies.

Thiébaut Devergranne

Thanks for your comment I didn't expect it to be in english, lovely ;)

Yes I think the 2% fine is still a very big battle and is not yet fixed. Initially the Commission set it at 5%, now 2%, it could very well go back to 5% or stay the same. But the EU regulation without realistic fines don't make much sense either so...

cgv

Les grands groupes ont-il lancé des audits juridiques depuis pour se mettre en conformité ? Cela parait un vaste chantier pour eux ! avez vous des retours de ce qui se passe dans la pratique ?

gaétan

Bonjour,

Je voudrais savoir comment procéder pour pouvoir vérifier certains fichiers informatiques de la police et de la gendarmerie me concernant.

Apparemment, il y aurait des moqueries et des mensonges sur ma personne.

Pouvez-vous m'aider.

cordialement


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)